Synology – 3 méthodes pour accéder à mon NAS de l’extérieur : QuickConnect, DDNS et VPN

Aujourd’hui, nous vous proposons de découvrir 3 méthodes de connexions pour accéder à votre NAS Synology depuis l’extérieur. En effet, posséder un NAS à la maison, c’est bien… mais pouvoir accéder aux données et aux applications de n’importe où, c’est encore mieux. Nous allons vous proposer 3 méthodes : de la plus simple à la plus compliquée… en expliquant les avantages et inconvénients de chacune. En bonus, à la fin de l’article, nous vous fournirons plusieurs conseils de sécurité lorsque le NAS est accessible depuis l’extérieur.

acces distance nas synology

3 méthodes d’accès à son NAS depuis Internet

Nous avons décidé de vous présenter 3 méthodes différentes avec pour objectif qu’une d’entre elle vous aide. Il est possible de commencer par l’une puis d’aller vers une autre sans aucun souci. Dans notre guide, nous partons du principe que le NAS est fonctionnel et qu’il a accès à Internet (ex. : il peut télécharger une application depuis le Centre de Paquets).

QuickConnect, le plus simple

Sur les NAS Synology, la méthode la plus simple : c’est l’utilisation de QuickConnect. Chez vous, connectez-vous à votre NAS et allez dans Panneau de configuration > Accès externe, vous devriez arriver sur cet écran.

QuickConnect Synology

Cochez la case Activez QuickConnect et saisissez un QuickConnect ID (un nom à votre NAS pour la connexion à distance). Appuyez sur le bouton Appliquer. Si c’est la première fois que vous utilisez ce service (et si vous n’avez pas enregistré votre NAS), un identifiant et un mot de passe seront nécessaires (création d’un compte gratuit obligatoire). C’est terminé.

QuickConnect NAS

Votre NAS est disponible depuis n’importe où. Il suffira de connaître son nom pour y accéder avec votre identifiant et mot de passe. Dans notre exemple, cachemNAS sera accessible à l’adresse QuickConnect.to/cachemNAS mais aussi cachemnas.quickconnect.to.

Notre avis

Il s’agit de la méthode la plus simple et rapide.Cependant, elle est critiquée par de nombreux experts. Elle leur paraît trop simple, ce qui peut entraîner un risque d’activation par mégarde (ou un oubli). De plus, elle nécessite un intermédiaire : Synology. Le fabricant de NAS joue un rôle crucial puisqu’il fait la liaison entre le NAS physique et l’accès à distance. Certains reprochent que les utilisateurs ne maîtrisent pas quelles données sont partagées avec Synology : adresse IP, informations de connexion, données… À la rédaction, nous partons du principe que Synology est un tiers de confiance et qu’il ne conserve que les données strictement nécessaires (cf. : déclaration de confidentialité). Aussi, certains lui reprochent des soucis de lenteur à la connexion et des débits moindres que les solutions suivantes…

DDNS, le plus performant

La deuxième méthode nécessite une démarche légèrement plus complexe. Le DDNS (DNS dynamique) facilite le transfert d’une adresse IP publique qui change régulièrement (celle de votre Box par exemple) vers un nom de domaine fixe. Vous pourrez acheter votre propre nom de domaine chez OVH ou Google par exemple pour quelques euros (.fr / .com / .eu…). Rassurez-vous, il est aussi tout à fait possible de passer par un service tiers gratuit comme ChangeIP.com, FreeDNS… ou encore Synology. Connectez-vous à votre NAS. Allez dans Panneau de configuration > Accès externe, puis allez sur l’onglet DDNS et appuyer sur le bouton Ajouter.

Pensez à consulter nos précédents tutos pour vous aider :

La seconde étape est d’ouvrir votre Box/routeur pour accéder au NAS depuis l’extérieur. Pour cela, il est nécessaire de se connecter à l’interface d’administration de la Box (routeur de votre opérateur) depuis votre navigateur :

  • Chez Free : mafreebox.freebox.fr ou 192.168.0.254
  • Chez SFR : 192.168.1.1
  • Chez Orange : 192.168.1.1
  • Chez Bouygues Telecom : 192.168.1.254

Recherchez le menu Configurer les redirections ou Transfert de Ports ou encore NAT/PAT… chaque opérateur utilise un nom différent. Vous devrez indiquer un port extérieur (WAN), un port interne (LAN) et une adresse IP interne (adresse du NAS). En fournissant ces informations, vous indiquez à la Box que vous ouvrez une porte d’entrée (port) vers votre réseau, permettant ainsi l’accès au NAS. Par défaut, on indiquera le même port WAN et LAN (ex. : 5001 pour l’interface d’administration Synology), mais il est tout à fait possible de le changer. Pour notre exemple, seul le port TCP est nécessaire. De plus, vous pourrez profiter d’un vrai certificat (Let’s Encrypt) à condition de laisser ouverts les ports 80 et 443… ce qui pourrait en freiner quelques-uns.

Notre avis

La méthode nécessite 2 étapes importantes : le paramétrage du NAS et de la Box. Elle est un peu plus complexe que la précédente, mais très efficace. Vous êtes complètement indépendant des services Synology. La connexion et les débits sont plus rapides . Cette approche est à privilégier si vous partagez fréquemment des données avec des personnes extérieures, que ce soit vos amis ou votre famille. Une fois le paramétrage réalisé, l’utilisateur n’a aucune maintenance à assurer. Tout est géré automatiquement. Il sera relativement facile d’ajouter ou de retirer des services depuis le Portail de connexion. Les possibilités sont pratiquement infinies.

VPN, le plus sécurisé

Posséder d’un serveur VPN à domicile présente plusieurs avantages. Il s’agit d’une porte d’entrée à votre réseau personnel (ou professionnel). Le VPN représente une barrière sécurisée qu’il est nécessaire de franchir avant d’accéder à votre réseau/domicile et donc au NAS. Le serveur VPN serveur peut être installé sur (le routeur) la Box de votre opérateur. Il peut également être installé sur un autre appareil du réseau comme un Raspberry Pi ou même sur votre NAS lui-même.

pixabay / Danny144

Le VPN va sécuriser l’accès en chiffrant les échanges entre votre appareil (ordinateur, smartphone, tablette…) et votre réseau domestique. En 2021, nous recommandons de préférence WireGuard et OpenVPN. Voici quelques tutos pour vous aider à sa mise en place :

Une fois que vous passez la barrière du VPN, vous pourrez accéder à votre NAS de façon classique avec un identifiant et un mot de passe… comme si vous étiez à votre domicile. À noter qu’il est possible d’accéder au NAS depuis l’interface d’administration Web, depuis les applications mobiles, mais aussi à travers l’Explorateur de fichiers Windows (Réseaux) ou depuis le Finder sur Mac grâce aux protocoles AFP/SMB…

Notre avis

Plus sécurisée, cette méthode est aussi plus complexe à mettre en place. Elle peut nécessiter du matériel supplémentaire (Raspberry Pi) et surtout du temps à l’installation/paramétrage. Au-delà de sa lourdeur lors de la mise en place, l’accès au NAS est restreint par l’usage du VPN… L’utilisateur devra posséder une application supplémentaire sur son périphérique (téléphone, ordinateur, tablette…) pour se connecter au VPN. Donc, le partage de documents (y compris photo, vidéo et musique) avec vos amis ou famille sera plus difficile. Il faudra leur prévoir : un accès au VPN et un accès au NAS. Cette méthode est réservée aux utilisateurs avertis, soucieux de la sécurité.

Conclusion

Il existe plusieurs méthodes pour ouvrir et accéder à son NAS Synology depuis l’extérieur. Nous espérons que l’une d’entre elles répondra à vos besoins. Sachez qu’il est également possible de mêler 2 méthodes : DDNS + VPN. Quel que soit votre choix, il faut garder à l’esprit que l’ouverture d’un NAS expose à des risques. En effet, lorsque votre NAS est inatteignable depuis l’extérieur de votre domicile, il jouit d’une sécurité relative. Dès qu’il est accessible depuis Internet, n’importe qui peut tenter de s’y connecter et/ou d’exploiter une faille de sécurité. Il sera donc important de respecter quelques règles essentielles :

  • Activez le blocage automatique après plusieurs tentatives infructueuses : Panneau de configuration > Protection > Activer le blocage auto ;
  • Désactivez les comptes admin et guest (désactivé par défaut) : Panneau de configuration > Utilisateur et Groupe ;
  • Activez le Firewall sur le NAS : Panneau de configuration > Pare-feu ;
  • Utilisez un mot de passe fort (Longueur de 8 minimum avec minuscule, majuscule, des chiffres, caractères spéciaux…) ;
  • Changez le/les ports par défaut : Panneau de configuration > Portail de connexion (pour le port 5001 par exemple) ;
  • Utilisez le HTTPS plutôt que le HTTP : Panneau de configuration > Portail de connexion et cochez la case Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM ;
  • Mettez à jour régulièrement votre NAS (DSM et applications) ;
  • Faites des sauvegardes régulières

Sans cela, vous vous exposez à plusieurs risques : vol de vos données, suppression d’une partie/totalité de vos fichiers ou encore à une demande de rançon (CryptoLocker). Soyez prudent…

  1. Bonjour,
    Très bon article, comme d’habitude.

    J’ajouterai que pour le DDNS, il faut aussi ajouter le reverse proxy pour limiter les ports ouverts sur l’extérieur.
    Dans mon cas, le 5001 + Drive passe par le reverse proxy. Il n’y a que Hyperbackup qui nécessite un port dédié.
    Pour ce qui est de Plex, je l’ai remplacer par Emby car il fonctionne parfaitement via le reverse proxy.

    Steve

    1. Merci pour l’article, très clair.

      Pour @Steve, ce complément d’information est très intéressant, et j’aimerai en savoir plus sur le sujet (configurer le reverse proxy pour le port 5001 et Drive).
      Cachem, pouvez-vous faire un article sur le sujet ? (ou peut-être existe-t-il déjà, je vais faire une recherche après avoir fini mon message)

      Merci

      1. L’utiliser, meme en local n’est pas une super solution non plus. Il faut au maximum s’affranchir des ports par défaut afin d’éviter toutes les attaques automatisées.

  2. Merci beaucoup pour cet article,

    Une petite piqûre de rappel est toujours nécessaire, surtout dans le domaine de la sécurité informatique, combien de réseaux privés sont de réelles passoires !?
    (Configuration out of the box, plug and play…)

    Pour ma part, j’utilise le DDNS couplé à l’utilisation de reverse proxy, pour éviter d’ouvrir des ports à tout bout de champs.

    Concernant le VPN, le VPN serveur est activé sur mon USG (Unifi), en amont de mon NAS.
    J’utilise mon VPN dans le cadre de sécuriser mon surf lorsque je suis à l’étranger/extérieur (connection wifi, hotel, resto, free wifi…)
    Limité l’accès à mon réseau et NAS uniquement via un VPN apporterait un gros manque de flexibilité, surtout dans le cadre de partages de données ainsi que l’utilisation des applications mobiles (DS)

    J’ai néanmoins une question relative au tuto sur WireGuard, quel est l’intérêt d’utiliser WireGuard, en lieu et place de la fonction VPN serveur déjà embarquée dans l’USG (unifi) ?

    Pour terminer, j’utilise exactement les mêmes recommandations de sécurité mentionnées en fin d’article, on pourrait même y ajouter le filtrage GeoIP.

    Belle journée à tout le monde.

  3. Bonjour,

    Pourriez-vous à l’occasion faire un essai de nConnect (https://nkn.org/products/nconnect/...), disponible nativement sur les NAS grands publics ? La solution (https://nkn.org/community/blog/nconnect-for-nas-secure-remote-access-to-files-and-apps/) propose un accès depuis n’importe où, sans redirection de ports, haute vitesse, entièrement cryptée, s’appuyant sur plus de 100,000 noeuds anonymes (https://explorer.nkn.org/).

    Merci et bonne journée !

  4. Bonjour,

    Je ne suis pas partisans du vpn…
    Le vpn ouvre le réseau local distant aux machine qui s’y connecte… Populaire en entreprise, pourtant contre productif en terme de sécurité.

    Un ordinateur itinérant est plus susceptibles d’être corrompu que les poste sédentaire dans l’entreprise sur le réseau local (intranet). Ce qui laisse du coup plus de possibilités a un pirate….

    Le vpn devrait être réservé à des usage très spécifique…

    Je lui préfère un reverse proxy en frontal en HTTPS avec nom de domaine avec tous les services derrière, ddsm compris.

    Cordialement.

  5. Un complément pour le firewall :
    – mettre toutes les règles sur l’interface « LAN »
    – n’ouvrir que les ports strictement nécessaire (80 et 443 si l’on utilise un reverse proxy)
    – restreindre les IP source aux zone géographique minimum (France pour moi + USA pour le certificat let’s encrypt) :
    – refuser l’accès si aucune règle n’est remplie.

    Ce réglage permet d’éviter plus de 90µ des tentatives de connexions.

  6. Bonjour
    Merci pour l’article, comme toujours très complet et très intéressant.
    J’ai une adresse ip dynamique donc actuellement j’utilise un service dynDNS.
    Mais je voudrais utiliser mon nom de domaine (enregistré chez Nuxit) pour qu’il soit redirigé sur mon Syno.
    Je suppose que pour paramétrer le Syno, il faut passer par la personnalisation du fournisseur de service DDNS mais je tombe ensuite sur une fenêtre de paramétrage et je ne sais plus quoi faire…
    Quelqu’un saurait me guider ?
    Merci.
    Olivier

  7. Bonjour,
    Comme faire un DDNS sur une box en IPV6?
    Sur mon reseau actuel je suis passé (mon fournisseur d’accès) en ipv6 te depuis je n’arrive plut à utiliser le DDNS « synology.me ».

    Connaissez-vous une solution?

  8. Bonjour,
    je me contente d’utiliser l’accès via QuickConnect sur mon NAS DS215J (DSM 6.2) et je constate une activité quotidienne sur le NAS, plutôt le soir, et qui reste inexpliquée puisque je ne trouve aucune trace de connexion dans les journaux …
    Quel outil de supervision pouvez-vous conseiller en 2024 pour analyser mieux l’activité sur le NAS ?
    Merci,
    Pierre

    1. Pierre,
      Pourquoi ne pas être passé à DSM 7.x avec ce NAS ? Une crainte sur les performances ?
      Les activités peuvent être liées à plusieurs choses :
      – le NAS en lui-même peut opérer des opérations de maintenance ;
      – des logiciels (antivirus) peuvent fonctionner sur certaines plages horaires ;
      – tentatives d’attaque…
      Je vous recommande cet article https://www.cachem.fr/10-conseils-securite-nas/... avec 10 conseils de sécurité pour votre NAS. Activez bien le blocage des IP lorsqu’il y a trop de tentatives de connexion infructueuses.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.